社会工程| 从理论和实际场景中的简介

前言介绍

“如今，没有什么技术是不能通过社会工程攻克的。” - Kevin Mitnick，前黑客和社会工程专家。

尽管实施了最强大的技术安全措施，但每个组织都面临着具有挑战性和不可预测的脆弱性：它是我们，人类。对于旨在获取重要数据或系统访问权限的黑客来说，了解人类心理与掌握计算机系统同样重要。什么是社会工程以及如何防范它？我们将在下面的讨论中解决这些关键问题。

什么是社会工程以及它的应用场景

社会工程是网络犯罪分子使用的一种非技术策略，严重依赖人际互动，通常涉及操纵人们破坏标准安全实践和程序，以获得对系统或信息的未经授权的访问。

换句话说，社会工程是一门操纵、影响或欺骗人们以使他们放弃机密信息的艺术。由于社会工程利用人类弱点而不是技术或数字系统漏洞，因此有时被称为“人类黑客攻击”。犯罪者利用社会工程策略，因为操纵您固有的信任倾向通常比寻找破坏软件的方法更简单。例如，诱骗某人泄露其密码通常比尝试破解该密码要简单（除非密码特别弱）。

社会工程不仅用于黑客攻击或网络安全环境。其原理已应用于数字世界之外的各种场景。社会工程方法深深植根于理解人类行为和动机。他们以已知的方式利用受害者的情绪和冲动，迫使个人采取可能对他们有害的行动。这是一个已经实施了几十年的欺诈计划。以下是社会工程通常应用的几个领域：

• 网络安全和黑客攻击：社会工程通常是网络犯罪分子和黑客试图获得对系统或信息的未经授权的访问时使用的第一种策略。它通常是起点，因为利用人类漏洞往往比查找和利用技术漏洞更容易、更省时。人往往是网络安全链中最薄弱的环节。它们可能被操纵泄露密码等敏感信息，或被诱骗执行危害安全的操作，例如单击恶意链接或打开受感染的附件。此外，大多数人并不完全了解他们面临的风险的类型和程度，这使得他们更有可能遭受此类攻击。

• 营销和销售：社会工程技术经常用于销售和营销，以说服客户购买产品或服务。这可以包括营造一种紧迫感、利用权威人物或名人来代言产品，或者提供让客户感觉很特别的“独家”优惠。

• 政治和宣传：政治家和政府经常使用社会工程技术来影响公众舆论或选民行为。这可能包括诉诸情绪、使用恐惧策略或利用宣传来塑造观念和信仰。

• 审讯技巧：执法机构在审讯过程中经常使用社会工程学。例如，他们可能会与嫌疑人建立融洽的关系，使他们更有可能泄露信息，或者他们可能会假装知道的比他们实际知道的更多，以促使他们招供。

• 骗子和欺诈：社会工程本质上是骗子的生计。他们可能会使用冒充银行官员、彩票代表或有需要的人等策略来欺骗受害者给他们钱。

• 间谍活动：社会工程学长期以来一直被用于间谍活动以提取敏感信息。间谍可能会使用诱惑、与目标交朋友或勒索等手段来操纵个人泄露秘密。

社会工程如何运作

社会工程利用人类心理和行为来欺骗个人提供敏感信息或授予对系统或资源的访问权限。虽然社会工程攻击的细节可能因所使用的策略和所涉及的目标而有很大差异，但一般步骤通常包括： - 调查或

研究：攻击者识别目标并收集尽可能多的信息以了解他们的兴趣、习惯、关系、工作角色等。这些信息通常是从社交媒体资料、公司网站或其他公共来源收集的。

• 策略制定：根据收集到的信息，攻击者设计出合理的场景或借口。例如，这可能是冒充有需要的同事、值得信赖的供应商、软件公司的支持人员，甚至是有诱人奖品的抽奖活动。

• 建立融洽关系：攻击者与目标进行初步接触并努力建立信任。他们可能会使用之前收集的信息来建立联系或建立可信度。欺诈者通常会模仿或“模仿”受害者熟悉、信任并可能经常与之打交道的公司，以至于他们会自动遵守这些品牌的指示，而忽略采取必要的安全措施。一些采用社会工程策略的骗子利用易于访问的工具包来创建模仿知名品牌或企业的假冒网站。

• 漏洞利用：一旦建立信任，攻击者就会操纵目标执行特定操作或泄露机密信息。这可能涉及点击恶意链接、泄露密码或将资金转移到特定帐户。在这个阶段，攻击者往往会引发恐慌或紧迫感。人们在受到惊吓或匆忙时常常会做出冲动的反应。社会工程计划可能会采用各种策略来煽动受害者的恐慌或仓促感，例如，通知受害者最近的信用卡交易已被拒绝、他们的计算机已被病毒感染、或其网站上的图像侵犯了版权法等等。社会工程还可以利用受害者对错过机会的恐惧（FOMO），产生一种独特的紧迫感。

• 执行：攻击者将获得的信息或访问权限用于恶意目的。这可能涉及窃取资金、访问机密数据或安装恶意软件以进行进一步的攻击。

• 退出：实现目标后，攻击者通常会掩盖自己的踪迹以避免被发现，并可能在将来使用相同的访问路线。

已知的社会工程策略和技术

几乎每种类型的网络安全攻击都包含某种社会工程。例如，经典的电子邮件和病毒诈骗充满了社交色彩。除了桌面设备之外，社会工程还可以通过移动攻击以数字方式影响您。然而，您也可能很容易亲自面对威胁。这些攻击可能会重叠并相互叠加，从而形成骗局。了解此类犯罪的不同攻击媒介是预防的关键。以下是社会工程攻击者常用的一些方法：

• 网络钓鱼：攻击者通过这种方法发送看似来自信誉良好的来源的通信（通常是电子邮件），并要求提供敏感信息，例如用户名、密码或信用卡详细信息。收件人被欺骗，相信该邮件是他们想要或需要的东西，然后单击链接或下载附件。

• 鱼叉式网络钓鱼：这是一种更有针对性的网络钓鱼形式，攻击者研究受害者并对他们的通信进行个性化处理，使其看起来更合法。这可能涉及使用受害者的姓名、职务或其他个人信息。鱼叉式网络钓鱼攻击特别有效，因为它们高度个性化，并且通常似乎来自可信来源。

• 水坑攻击：在这种类型的攻击中，攻击者观察组织或特定人群经常访问哪些网站，然后尝试用恶意软件感染这些网站 - 但主要目标是感染用户的计算机并获得网络访问权限。犯罪者收集特定人群的数据来识别他们经常访问的网站，随后探测这些网站的弱点。逐渐地，目标组的一些成员将屈服于感染，为攻击者提供了进入安全系统的入口点。

• 甜蜜陷阱：在这种方法中，攻击者在社交媒体或约会网站上创建虚假个人资料，让受害者随着时间的推移泄露机密信息，通常以浪漫或非常亲密的友谊关系为幌子。这是一种引诱男性在网上与不存在但有吸引力的女性角色互动的策略。这种策略源于古老的间谍技术，即雇佣一名真正的女性来达到类似的目的。

• 诱饵：诱饵涉及向目标提供诱人的报价，促使他们采取特定行动。这可以通过点对点或社交网站执行，提供诱人的（可能是成人的）电影下载，或者可能涉及故意留在公共场所供受害者发现的标有“第一季度裁员计划”的 USB 驱动器。一旦使用 USB 设备或下载有害文件，受害者的计算机就会受到感染，从而使犯罪者能够控制系统。

社会工程攻击的示例

以下是涉及社会工程的几个重大事件的示例：

• 凯文·米特尼克的黑客生涯：凯文·米特尼克可能是最著名的社会工程师。在 20 世纪 80 年代和 90 年代，米特尼克使用社会工程等策略侵入了数十个系统，其中包括 IBM 和诺基亚等大公司的系统。他经常冒充系统管理员来欺骗人们泄露密码。米特尼克最终被捕并被判入狱。他现在担任安全顾问，并撰写了几本有关该主题的书籍。

• 极光行动：2009年，据信总部位于中国的黑客发起了一系列被称为“极光行动”的网络攻击。这些攻击针对包括谷歌和 Adob​​e 在内的数十家大公司，使用鱼叉式网络钓鱼电子邮件诱骗员工点击在其计算机上安装隐藏特洛伊木马的链接。

• 美联社推特被黑：2013年，美联社推特账户被黑，发布虚假推文，声称白宫发生爆炸，奥巴马总统受伤。黑客利用鱼叉式网络钓鱼电子邮件获取美联社工作人员的登录信息。这条推文引起了短暂的恐慌，并导致股市暂时大幅下跌。

• The Fappening 或 Celebgate：发生于 2014 年。在这起引人注目的案件中，个人（或可能是一个团体）使用社会工程技术等，未经授权访问几位名人的 iCloud 帐户，导致许多个人照片泄露，其中一些是露骨的。据报道，攻击者使用了一种名为“鱼叉式网络钓鱼”的技术，向看似来自苹果或谷歌的名人发送有针对性的电子邮件，要求他们提供用户名和密码。获得信息后，攻击者就可以访问帐户并下载内容。联邦调查局对此事件进行了调查，最终逮捕了一名名叫瑞安·柯林斯 (Ryan Collins) 的男子。他承认犯有违反《计算机欺诈和滥用法》的重罪，并于 2016 年被判处在联邦监狱服刑 18 个月。

• 2016 年美国选举干扰：俄罗斯黑客利用社会工程技术涉嫌干扰 2016 年美国总统选举。他们向 1,000 多人发送了鱼叉式网络钓鱼电子邮件，其中许多人与民主党全国委员会 (DNC) 有关。通过冒充谷歌要求用户更改密码，黑客能够访问许多电子邮件帐户，其中包括希拉里·克林顿竞选团队主席的电子邮件帐户。

• 2020 年 Twitter 比特币骗局：2020 年，130 个知名 Twitter 账户被劫持，其中包括埃隆·马斯克、比尔·盖茨和巴拉克·奥巴马的账户。攻击者发布推文，要求追随者将比特币发送到特定地址，并承诺将资金翻倍。据报道，攻击者通过致电员工并冒充需要登录凭据才能访问系统的 Twitter IT 员工来访问 Twitter 的内部系统。此次黑客攻击是近年来最引人注目的社会工程案例之一。